Cybercrime

Digitale Erpressung – eine reale Gefahr für die Praxis?

„Bei all meinen Beratungsmandaten habe ich nirgends eine dramatischere Bedrohung der wirtschaftlichen Existenz gesehen“. So machte uns zm-Kolumnist Christian Henrici auf reale Fälle aufmerksam, die man üblicherweise nicht in der Welt der Zahnarztpraxen vermuten würde: Erpressung via Krypto-Ransomware, die die Praxissoftware verschlüsselt und die Daten dem Zugriff entzieht. Dass es sich bei Cybercrime nicht nur um eine theoretische Gefahr handelt, soll diese Titelgeschichte deutlich machen.

Gorodenkoff - Fotolia

Herr Henrici, Ransomware-Angriffe legen momentan viele Unternehmen – auch Zahnarztpraxen – lahm. Mithilfe dieser Erpressungstrojaner verschlüsseln Hacker den gesamten Datenbestand im Praxisnetzwerk und geben ihn erst gegen eine Lösegeldzahlung wieder frei. Wie wurden Sie mit diesem Thema konfrontiert?

Christian Henrici: Der hier beschriebene Fall eines Zahnarztes war der erste, der mir in diesem Maße so konkret bekannt wurde und mich dazu veranlasste, mich intensiver mit dem Thema Datenschutz und -sicherheit und der sich daraus ergebenen Kriminalisierung zu beschäftigen. Bislang war auch für mich „Sicherheit“ ein Thema, das ich in fachkundigen Händen zu wissen glaubte und von dem ich dachte, mich damit nicht tiefergehend auseinandersetzen zu müssen. Ich wurde eines Besseren belehrt.

Was ist passiert?

Im vierten Quartal vergangenen Jahres erfuhr ich von zahlreichen Fällen, in denen Zahnarzt- und Arztpraxen Opfer von Cybercrime, Datenklau und Daten-Kidnapping wurden. So unterschiedlich die Praxen auch sein mögen – eines haben sie gemeinsam: die Scheu, über ihre Fälle zu sprechen. 

Scheu? Weshalb?

Ausschlaggebend sind meines Erachtens zwei Gründe: erstens die Angst vor einem Revancheakt der Täter. Zweitens die Angst, öffentlich vom Opfer zum Täter gemacht zu werden, weil der Praxisinhaber für die Datenerfassung, -haltung und -sicherheit verantwortlich ist. Insbesondere dafür, dass mit diesen Daten vernünftig und sorgsam umgegangen wird und dass er alles in seiner Macht Stehende tut, um diese Daten zu schützen. Sollten dennoch Daten gekapert werden, besteht aufseiten des Praxisinhabers eine Fürsorgepflicht, die unrechtmäßige Kenntniserlangung von Daten durch Dritte unverzüglich der Aufsichtsbehörde sowie den Patienten und Kunden zu melden.

Ich bin niedergelassener Zahnarzt. Ende vergangenen Jahres ist mir der Super-GAU passiert: Mein Praxiscomputer wurde gehackt, alle Patienten- und Abrechnungsdaten waren mit einem Mal weg. Ich wurde erpresst.

mehr

Zu welchem Zeitpunkt muss der Praxisinhaber die Betroffenen denn informieren?

Die Benachrichtigung muss erfolgen, sobald angemessene Maßnahmen zur Datensicherung ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird (vgl. § 42a BDSG). „Unverzüglich“ ist zwar ein dehnbarer Begriff, verdeutlicht aber die Ernsthaftigkeit, die dem Thema von behördlicher Seite gewidmet wird. 

Vor diesem Hintergrund bin ich sehr dankbar, dass Dr. Michael Kann, ein Zahnarzt mit ausgeprägter IT-Affinität, sich stellvertretend für viele Kollegen bereit erklärt hat, mit mir über das Thema zu reden.

Das Fazit seiner bisherigen Erfahrungen mündet in einem klaren Appell an alle Praxisinhaber: Um die Praxis-, Patienten- und auch Mitarbeiterdaten zu sichern und sich vor hohen Kosten durch Arbeitsausfälle und/oder Lösegeldzahlungen zu schützen, sollte sich jede Praxis rechtzeitig mit den notwendigen Maßnahmen des Datenschutzes und der Datensicherheit auseinandersetzen. 

Das heißt im Klartext?

Im Klartext heißt das: Sind zum Beispiel nach einem Krypto-Ransomware Angriff die Praxisdaten nicht mehr im Zugriff, ist die Praxis hilflos. Behördenseitig kann nur selten eine rasche Wiederherstellung erreicht werden, dann nämlich, wenn die Verschlüsselungssoftware dort bekannt ist. Die Kosten, das „Problem“ zu lösen, sprengen jede Vorstellungskraft und dadurch, dass es weder einen Zugriff auf elektronische Terminverwaltung noch auf die Patientendaten, geschweige denn auf die Abrechnungsdaten gibt, ist eine Weiterführung des Behandlungsalltags unmöglich. Dazu muss man sich nur mal vor Augen führen, wie man seine Patienten benachrichtigen will, wenn die Patientendaten gekapert sind.

Das Bundeskriminalamt (BKA) bilanziert im Bereich Cybercrime eine – wie in kaum einem anderen Deliktbereich - kontinuierlich steigende Entwicklung.

mehr

Sie haben ja mit vielen Praxisinhabern gesprochen. Wie handhabt die Mehrheit den Datenschutz und die Datensicherheit?

Erstens: Eine große Anzahl von Zahnarztpraxen mit Internetzugang nutzt ein nicht ausreichend gesichertes System. Zweitens: Mittels randomisierter Brute-Force-Attacken – das sind automatisierte Dauerattacken auf der Suche nach Passwörtern – auf RDP-Server wurden viele Zahnarztpraxen angegriffen und Daten gekapert, wodurch es zu erheblichen Lösegeldzahlungen kam. Drittens: Von neun IT-Firmen, mit denen ich gesprochen habe, haben sich lediglich zwei über einen gewissen Standard hinaus mit Cybercrime und Abwehrmaßnahmen beschäftigt. 

Wie interpretieren Sie diese Situation?

Die Gefahrenlage ist leider nur wenigen Praxisinhabern wirklich bewusst. Die Frage, wie die eigene Praxis geschützt werden kann, was zu tun ist, damit eine vernünftige Sicherheit gewährleistet ist, muss sich allerdings jeder Praxisinhaber stellen. 

Wie haben Sie und Ihr Team reagiert? 

Wir haben auf Basis der unbefriedigenden Recherche Anfang Dezember eine Security-Task-Force gegründet und nach den besten IT-Spezialisten gefahndet, die es im Markt gibt. Dabei haben wir mit ehemaligen Hackern gesprochen und uns mit IT-Spezialisten zusammengesetzt, die über die notwendige Expertise in diesem Bereich verfügen. Danach haben wir das Team aus verschiedenen Disziplinen und Firmenzugehörigkeiten gebildet. 

Was empfehlen Sie der Zahnarztpraxis?

Christian Henrici ist Hauptgesellschafter der OPTI Zahnarztberatung GmbH und verfügt über die Erfahrung von über 1.400 Mandaten aus den vergangenen 15 Jahren. henrici@opti-zahnarztberatung.de | Privat

Erstens: Vergewissern Sie sich, ob der für Ihre IT-Sicherheit zuständige Mitarbeiter beziehungsweise das zuständige Unternehmen alle notwendigen Maßnahmen zum Schutz Ihrer technischen Infrastruktur ergriffen hat. Zweitens: Lassen Sie den Ist-Zustand Ihrer Praxis im datenschutzrechtlichen Zusammenhang von einer externen Stelle unabhängig von Ihrem IT-Dienstleister überprüfen. Auf diese Weise können Sie grobe Verstöße gegen die geltenden Sicherheitsrichtlinien minimieren oder gar eliminieren. Achtung: Ihre Dienstleister stehen Ihnen beratend zur Seite, die Haftung liegt jedoch allein bei der Praxis, da diese für die Datenhaltung verantwortlich ist. Sie reduzieren hiermit allerdings das Risiko einer Einschätzung fahrlässiger Handhabe seitens der Justitia. Drittens: Vereinbaren Sie mit Ihrem IT-Dienstleister regelmäßige Kontrollen im Hinblick auf die Aktualität der ergriffenen Maßnahmen und Ihrer eingesetzten Programme beziehungsweise Anwendungen. 

Wie schätzen Sie diese Bedrohung ein?

In meiner mittlerweile 15-jährigen Tätigkeit im Dentalmarkt habe ich nirgends eine derartige Existenzgefahr wie bei diesem Thema gesehen.

Spätestens seit den Enthüllungen von Edward Snowden ist klar, dass Daten im Netz ein Sicherheitsrisiko darstellen. Hier finden Sie Tipps zur digitalen Selbstverteidigung.

18982421878034187803018780311898243 1898244 1878032
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare